- Nomad-hændelsen er årets tredjestørste cryptocurrency-hack, bag Wormhole og Ronin
- Omkring 41 adresser hentede cryptocurrency fra protokollen
Token bridge Nomad har lidt en "vanvidd fri-for-alle", efter at angribere raidede protokollen for mere end $190 millioner i kryptovaluta.
Nomad, der markedsførte sig selv som en "sikkerhedsførst" platform til at sende ERC-20-tokens mellem kompatible blockchains, bekræftede razziaen i et tirsdag morgen tweet.
Hændelsen adskiller sig fra andre storstilede hacks til at lamme token-broer i år. Token-broer gør det muligt for kryptobrugere at portere digitale aktiver over netværk ved først at låse dem inde i en smart kontrakt.
Broen udsteder derefter et afledt token, et "indpakket aktiv", på den anden side, med deres værdier understøttet af deres oprindelige indskud. Nomad understøtter Ethereum, Avalanche, Evmos og Moonbeam.
Februars Wormhole-hack så angribere udnytte buggy smart kontraktkode til at præge sig selv $320 millioner i Wrapped Ether uden at stille den nødvendige sikkerhed.
Axie Infinite Ronin-broangrebet, der blev afsløret i marts, involverede en månedslang phishing-kampagne for at erhverve private nøgler forbundet med dens multisig-pung, hvilket resulterede i omkring $625 millioner i krypto stjålet (begge hændelser vurderet på tidspunktet for angrebet).
Men Sam Sun, sikkerhedschef hos investeringsselskabet Paradigm for digitale aktiver, forklarede i en Twitter-tråd, at Nomads tyve ikke behøvede at vide noget om Ethereum-programmeringssproget Solidity for at klare sig med brugersikkerhed.
Rari Capital hacker vendte tilbage for at raide Nomad
Nomads udviklere havde ved et uheld skubbet en rutineopgradering, som fortalte protokollen at behandle enhver transaktion med standard root-hashen på "0x00", hvor normalt blockchain-netværk kræver en unik og specifik rod som bevis på, at transaktionen er gyldig.
Dette betød, at Nomad reelt ville godkende enhver transaktion, der blev indsendt til protokollen. Efter at en angriber indså og påbegyndte store ulovlige overførsler, kopierede andre brugere blot deres transaktionsscript og erstattede modtageradressen med deres egen, forklarede Victor Young, chefarkitekt hos interoperabilitetsnetværket Analog.
For Young er en vigtig fordel ved smarte kontraktplatforme, som dem der driver Nomad, at de er Turing-komplette systemer. De kan beregne "stort set alt, hvad en moderne digital computer kan gøre fra et matematisk synspunkt," sagde Young.
"Desværre introducerer dette utallige og ukendte angrebsvektorer, der åbner den smarte kontrakt for hacks," fortalte Young Blockworks. "Når du kombinerer dette med slappe udviklere, der ikke formår at implementere et robust sæt af testmekanismer, får du den latterlige nedsmeltning, som vi i øjeblikket er vidne til."
Young ordinerede andre blockchain-platforme end-to-end-tests og gentagne kodeaudits for at hjælpe med at mindske risikoen for, at dette sker andre steder.
Blockchain-sikkerhedsfirmaet PeckShield rapporteret omkring 41 adresser havde raidet Nomad, en blanding af Wrapped Bitcoin og Wrapped Ether sammen med stablecoins DAI og USDC.
Navnlig den samme adresse, der er forbundet med Rari-hovedstaden hack i slutningen af april siges at have stjålet 3.4 millioner dollars i kryptovaluta. Der er mindre end 12,000 dollars tilbage i Nomads smarte kontrakter, ned fra mere end 190 millioner dollars før razziaen, pr. DeFi Lama.
Nomad-hændelsen er nu årets tredjestørste hack, bag Wormhole og Ronin. Det er uklart, hvad der er det næste for firmaet.
Både Wormhole og Axie Infinite-holdene rejste venturekapital i et forsøg på at gøre både deres brugere og protokoller hele efter deres respektive hacks. Blockworks har kontaktet Nomad for at lære mere om deres planer.
Få dagens bedste kryptonyheder og -indsigter leveret til din indbakke hver aften. Tilmeld dig Blockworks' gratis nyhedsbrev nu.
Kilde: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/